L'intégration SCIM avec Okta permet aux administrateurs de gérer les utilisateurs et groupes de Document360 directement depuis Okta de manière automatisée et centralisée.
Lorsqu'un nouvel utilisateur est ajouté dans Okta, son compte Document360 est automatiquement provisionné. Toute mise à jour de son rôle ou de son appartenance au groupe est synchronisée en temps réel, et lorsqu'un utilisateur est désactivé ou supprimé dans Okta, cela se reflète dans Document360 sans intervention manuelle. Cela élimine le besoin de gestion de compte séparée dans Document360 et garantit que les données utilisateur restent exactes et à jour sur les deux plateformes.
Assigner la correspondance des attributs utilisateur
Dans la console d'administration Okta, déroulez la section Applications et sélectionnez Applications.
Sélectionnez l'application que vous souhaitez configurer et allez à l'onglet Provisionnement .
Faites défiler vers le bas jusqu' à Mappage d'attributs et cliquez sur Aller dans l'éditeur de profil.
Dans la section Attributs , cliquez sur Ajouter un attribut et remplissez les détails spécifiés dans le tableau ci-dessous.
Ajouter un attribut | Valeur |
|---|---|
Type de données | Booléen |
Nom d'affichage | Compte de l'équipe |
Nom de la variable | isTeamAccount |
Nom externe | isTeamAccount |
Espace de noms externe | urn :ietf :params :scim :schemas :extension :document360:2.0 :User |
.png)
Une fois terminé, cliquez sur Enregistrer.
Meilleures pratiques pour la cartographie des attributs
Lorsque vous configurez l' isTeamAccount attribut dans votre fournisseur d'identité (IdP), définissez-le toujours au niveau utilisateur, pas au niveau du groupe.
Si l'attribut est défini au niveau du groupe, les utilisateurs appartenant à plusieurs groupes avec des valeurs différentes peuvent recevoir des rôles incorrects dans Document360. Par exemple, un groupe peut fixer isTeamAccount à True tandis qu'un autre le fixe à False, créant un conflit lors du provisionnement.
Définir l'attribut au niveau utilisateur garantit que chaque utilisateur dispose d'une valeur claire, rendant le provisionnement SCIM plus fiable et cohérent.
Utilisation du constructeur d'expressions pour mapper les rôles
Au lieu de définir manuellement l' isTeamAccount attribut pour chaque utilisateur, vous pouvez utiliser le Constructeur d'Expressions d'Okta pour déterminer automatiquement si un utilisateur est provisionné comme Utilisateur ou Lecteur dans Document360, en fonction d'un attribut existant dans son profil Okta, comme le Titre de poste, le Département ou tout autre attribut commun à vos utilisateurs.
Comment ça fonctionne
L'expression évalue l'attribut du profil Okta de chaque utilisateur et retourne Vrai ou Faux, ce qui correspond directement à leur rôle dans Document360 :
isTeamAccount=True→ provisionné en tant qu' Utilisateur.isTeamAccount=False→ fourni en tant que lecteur.
Une fois provisionné, les utilisateurs sont automatiquement ajoutés aux groupes d'utilisateurs ou groupes de lecteurs respectifs dans Document360.
Étapes à configurer
Dans la console d'administration Okta, allez dans Applications et sélectionnez votre application SCIM.
Naviguez dans l'onglet Provisionnement et cliquez sur l'onglet Vers l'application dans Paramètres.
Faites défiler jusqu' à Mappage d'attributs et cliquez sur l' icône Modifier à côté de l'
isTeamAccountattribut.
Dans la boîte de dialogue, définissez le menu déroulant de la valeur de l'Attribut sur Expression.
Entrez votre expression dans la boîte de texte fournie.
Pour vérifier l'expression, saisissez le nom d'un utilisateur dans le champ Aperçu . Le résultat est instantanément évalué et affiché dans la barre verte sous la boîte de texte, indiquant si l'utilisateur sera provisionné comme Utilisateur (
true) ou comme Lecteur (false) en fonction de l'expression.Dans Appliquer sur, sélectionnez Créer ou Créer et mettre à jour selon que vous souhaitez que l'expression soit appliquée uniquement lors de la création de l'utilisateur ou lors des mises à jour également.
Cliquez sur Enregistrer.
NOTE
Cliquez sur Référence du langage d'expression sous la boîte d'expression pour explorer toutes les fonctions, opérateurs et syntaxes disponibles pris en charge dans le langage d'expression d'Okta. Pour plus d'informations, consultez le guide d'aperçu du langage des expressions d'Okta.
Exemple
Supposons que votre organisation souhaite fournir des utilisateurs en tant qu'Utilisateurs ou Lecteurs en fonction de leur titre de poste ou de leur appartenance au groupe dans Okta. Vous pouvez utiliser l'une ou l'autre des expressions suivantes selon ce qui convient le mieux à votre configuration.
Basé sur le titre du poste
Si vos utilisateurs ont un attribut Titre de poste dans leur profil Okta, vous pouvez attribuer des rôles en fonction de leur titre :
user.title == "Manager" || user.title == "Senior Manager" || user.title == "Team Lead" ? "True" : "False"Les utilisateurs portant le titre : Manager, Senior Manager ou Team Lead sont désignés comme Utilisateurs. Tous les autres titres sont fournis en tant que lecteurs.
NOTE
Le nom de la variable attribut (par exemple,
user.title) doit correspondre exactement au nom de la variable défini dans votre profil utilisateur Okta. Vous pouvez vérifier cela dans l'Éditeur de profil > de l'annuaire.
Basé sur l'adhésion au groupe
Si vos utilisateurs sont organisés en groupes Okta, vous pouvez cartographier les rôles en fonction des groupes auxquels ils appartiennent :
isMemberOfGroupName("Managers") || isMemberOfGroupName("TeamLead") || isMemberOfGroupName("Directors") ? "True" : "False"Les utilisateurs membres des groupes Managers, TeamLead ou Directeurs sont désignés comme Utilisateurs. Les utilisateurs qui n'appartiennent à aucun de ces groupes sont désignés comme Lecteurs.
NOTE
Vous pouvez combiner ou étendre l'une ou l'autre expression pour inclure des titres de poste supplémentaires ou des noms de groupes en fonction des besoins de votre organisation.
Disposition Okta à Document360
Pour lier la création, les modifications et la désactivation des utilisateurs dans Okta avec Document360,
Dans la barre de navigation de gauche, dépliez le menu déroulant Applications et cliquez sur Applications.
Sélectionnez votre application SCIM et allez dans l'onglet Provisionnement .
Cliquez sur Modifier sous Provisionnement vers l'application et sélectionnez les cases suivantes :
Créer des utilisateurs
Mettre à jour les attributs utilisateur
Désactiver les utilisateurs
Créer un lecteur
Pour ajouter un nouveau lecteur dans Document360 en utilisant Okta avec SCIM, suivez les étapes ci-dessous.
Dans la console d'administration Okta, développez le menu déroulant du répertoire et sélectionnez Personnes.
Sur la page Personnes , cliquez sur Ajouter Personne, remplissez les informations requises pour le lecteur, puis cliquez sur Enregistrer. Cela confirme que le lecteur a été ajouté avec succès au Fournisseur d'Identité (Okta).
.png)
Une fois le lecteur provisionné, Document360 attribue automatiquement le rôle en fonction de la règle configurée dans le Constructeur d'expressions.
Pour intégrer l'utilisateur à Document360, sélectionnez le lecteur nouvellement créé et cliquez sur Assigner des applications.
Dans la boîte d'affichage Assigner une application , sélectionnez le projet auquel vous souhaitez attribuer le lecteur, puis cliquez sur Assigner > Enregistrer et revenir en arrière > Terminé.
.gif)
Le lecteur nouvellement créé sera automatiquement synchronisé avec Document360. Pour vérifier cela, allez sur Document360 et allez dans Paramètres > Utilisateurs et permissions > Lecteurs & groupes.
Le lecteur sera ajouté avec l'accès au contenu par défaut qui a été appliqué lors de la configuration SSO.
Créer un utilisateur
Dans la console d'administration Okta, développez le menu déroulant du répertoire et sélectionnez Personnes.
Cliquez sur Ajouter une personne, remplissez les informations utilisateur requises, puis cliquez sur Enregistrer. Une fois l'utilisateur provisionné, Document360 attribue automatiquement le rôle en fonction de la règle configurée dans le Constructeur d'expressions.
Sélectionnez l'utilisateur nouvellement créé et cliquez sur Assigner des applications pour les lier à une application.
Choisissez l'application à laquelle vous souhaitez assigner l'utilisateur et cliquez sur Appliquer. L'utilisateur est créé avec succès.
Pour vérifier, allez sur Document360 et allez dans Paramètres > Utilisateurs & permissions > Utilisateurs & groupes. L'utilisateur nouvellement créé doit apparaître dans la liste.
NOTE
Le nombre d'utilisateurs que vous pouvez ajouter à Document360 via Okta dépend de votre abonnement.
Tous les utilisateurs provisionnés via SCIM sont initialement comptabilisés sous le quota utilisateur. Si la limite d'utilisateurs est atteinte, SCIM ne peut pas fournir des utilisateurs supplémentaires, même si certains d'entre eux sont destinés à être des Évaluateurs.
Solution de contournement
Provisionnez les utilisateurs d'Okta via SCIM comme d'habitude. Ils se synchronisent avec Document360 avec le rôle par défaut, comme Contributeur ou Administrateur.
Une fois les utilisateurs synchronisés, changez manuellement le rôle des utilisateurs requis en Examinateur dans Document360.
Une fois qu'un utilisateur est changé en Évaluateur, il est compté sous le quota de Critique au lieu du quota Utilisateur . Cela libère un emplacement Utilisateur.
Exemple : Si votre projet autorise 10 utilisateurs et 10 évaluateurs et que vous souhaitez ajouter d'autres utilisateurs via SCIM après avoir atteint la limite d'utilisateurs :
Premièrement, provisionnez 10 utilisateurs via SCIM.
Ensuite, changez les utilisateurs requis en Évaluateurs dans Document360.
Ces utilisateurs passeront au quota de Critique, libérant ainsi des emplacements Utilisateur pour d'autres utilisateurs.
Créer un groupe dans Okta
Pour créer un groupe dans Okta,
Dans la console d'administration Okta, développez le menu déroulant du répertoire et sélectionnez Groupes.
Cliquez sur Ajouter un groupe, saisissez le nom du groupe souhaité, puis cliquez sur Enregistrer.
.png)
Assigner application au groupe
Pour assigner le groupe à une application,
Développez le menu déroulant Applications et sélectionnez Applications.
Sélectionnez l'application souhaitée, allez à l' onglet Assignations , puis cliquez sur Assigner > Assigner aux groupes.
Cliquez sur Assigner à côté du groupe créé, puis sur Enregistrer pour compléter le devoir.
Groupes poussés
Contrairement aux utilisateurs, les groupes ne sont pas automatiquement synchronisés avec Document360 et doivent être poussés manuellement. Pour cela,
Après avoir assigné le groupe à l'application, allez dans l'onglet Push Groups et cliquez sur Push Groups.
Sélectionnez Trouver des groupes par nom et entrez le nom du groupe.
Sélectionnez le groupe dans les résultats et cliquez sur Enregistrer pour réussir à pousser le groupe vers Document360.
Pour vérifier, rendez-vous dans Document360 > Paramètres > Utilisateurs et permissions > Lecteurs & groupes > groupes de lecteurs.
Le nouveau groupe de lecteurs créé devrait apparaître dans votre portail.
NOTE
Lorsque Okta pousse un groupe via SCIM, Document360 crée toujours un nouveau groupe au lieu de le lier à un groupe existant.
Cela aide à prévenir les problèmes lorsque le même groupe est connecté à plusieurs fournisseurs SSO.
Par exemple, si un fournisseur retire des utilisateurs du groupe, cela pourrait accidentellement affecter les utilisateurs gérés par un autre fournisseur. Créer des groupes séparés évite ce conflit.
Pour cette raison, il faut toujours gérer les groupes SCIM et les membres depuis Okta, pas directement dans Document360.
Gestion des utilisateurs existants lors du provisionnement SCIM
Si une personne a déjà un compte dans Document360, SCIM ne changera pas son rôle existant lors de la première synchronisation. C'est une mesure de sécurité pour éviter des changements de rôle accidentels.
Exemple
Un utilisateur existe déjà dans Document360 en tant que lecteur.
Si SCIM tente de provisionner le même utilisateur qu'un utilisateur (isTeamAccount = True), la requête peut échouer car le rôle existant ne correspond pas.
Comment résoudre les conflits de rôle
Ouvre Document360 et localise le compte utilisateur.
Mettez manuellement à jour le rôle de l'utilisateur pour qu'il corresponde au rôle que vous souhaitez provisionner.
Réessayez la synchronisation SCIM.
Une fois que l'utilisateur a été lié et provisionné avec succès via SCIM, les changements futurs de rôle peuvent être gérés à l'aide de cet isTeamAccount attribut.
Ajouter un utilisateur/lecteur au groupe
Une fois que vous avez créé un groupe, suivez les étapes ci-dessous pour ajouter des lecteurs au groupe.
Dans la console d'administration Okta, développez le menu déroulant du répertoire et sélectionnez Personnes.
Naviguez dans l'onglet Groups , cherchez le groupe auquel vous souhaitez ajouter l'utilisateur/lecteur dans le champ Groups , puis sélectionnez-le.
L'utilisateur/lecteur sera ajouté avec succès au groupe sélectionné.
Pour confirmer, allez dans Document360 et sélectionnez le groupe d'utilisateurs/lecteurs concernés. Le lecteur ajouté doit apparaître dans le groupe.
NOTE
Si un groupe contient à la fois des utilisateurs et des lecteurs, il apparaîtra à la fois dans les groupes d'utilisateurs et les groupes de lecteurs dans Document360.
Gestion des utilisateurs, lecteurs et groupes dans Document360
Lorsque SCIM est activé, modifier le nom d'un utilisateur ou supprimer un utilisateur directement dans Document360 est désactivé, car ces actions doivent être gérées via Okta pour maintenir la synchronisation des deux plateformes. Vous ne pouvez gérer l'accès au contenu que depuis Document360.
Le badge SSO-SCIM indique si l'utilisateur a activé le SCIM ou non.
Gérer l'accès au contenu des lecteurs, utilisateurs et groupes
Le rôle de contenu par défaut attribué à tout nouvel utilisateur, lecteur ou groupe est basé sur ce qui a été configuré lors de la configuration du provisionnement SCIM. Les permissions seront réglées par défaut sur Aucun mais pourront être mises à jour à tout moment.
Pour gérer l'accès au contenu, sélectionnez le lecteur désiré et cliquez sur Gérer l'accès au contenu.
Choisissez le niveau d'accès souhaité dans le menu déroulant et cliquez sur Mettre à jour.
Désactiver les utilisateurs/lecteurs
NOTE
Désactiver un utilisateur dans Okta ne supprime pas son profil de Document360. L'utilisateur sera marqué comme inactif et perdra la possibilité de se connecter à Okta et d'accéder à ses applications. Vous pouvez réactiver le compte à tout moment, mais l'utilisateur devra réinitialiser son mot de passe lors de la réactivation.
Pour désactiver les utilisateurs ou lecteurs d'Okta,
Élargissez le menu déroulant du répertoire et sélectionnez Personnes.
Sélectionnez l'utilisateur que vous souhaitez désactiver pour accéder à son profil utilisateur.
Cliquez sur Plus d'actions et sélectionnez Désactiver.
.png)
L'utilisateur sera désactivé avec succès. Une fois désactivé, le statut de l'utilisateur dans Document360 passera d' Actif à Inactif.
Supprimer utilisateur/lecteur
Pour supprimer définitivement un profil d'utilisateur/lecteur d'Okta,
Dans Okta, cliquez sur Supprimer dans le profil utilisateur/lecteur.
Une boîte de confirmation apparaîtra, cliquez sur Supprimer.
.png)
Le profil sera définitivement supprimé d'Okta.
NOTE
Supprimer un profil dans Okta ne le retire pas de Document360, le profil restera avec un statut Inactif .
Héritage d'une autre application
Lors de la création d'une nouvelle configuration SSO dans Document360, vous pouvez hériter des paramètres SCIM d'une connexion SSO existante. Cette approche simplifie le processus de configuration, évite la répétition des étapes de configuration et aide les administrateurs à gagner du temps tout en assurant la cohérence entre les intégrations.
Configuration SSO héritée enfant
Sur la page Configurer le fournisseur d'identité (IdP ), sélectionnez le champ Configurer une connexion existante et sélectionnez l'application parente compatible SCIM SSO dont vous souhaitez hériter. En sélectionnant cette option, le projet en cours sera désigné comme projet enfant, héritant de toutes les propriétés pertinentes du parent concerné.
NOTE
Une fois la configuration SSO créée, les paramètres de provisionnement SCIM seront hérités de l'application mère et ne pourront pas être modifiés dans l'application fille.
Configuration SSO héritée par le parent
L'application mère affichera une liste de tous les projets ayant hérité de sa configuration. Toute modification apportée à l'application mère sera automatiquement reflétée dans l'application enfant.
Si SCIM est activé dans le projet parent après que les projets enfants l'ont déjà hérité, les utilisateurs et groupes seront automatiquement provisionnés sur tous les projets enfants en arrière-plan.
Activer l'héritage facilite la gestion de plusieurs configurations SSO avec SCIM activé, car tous les paramètres sont contrôlés depuis une application parente. Cela permet de gagner du temps et réduit l'effort nécessaire pour gérer chaque configuration individuellement.
Dépannage
La synchronisation a échoué à cause d'une erreur serveur SCIM.
Lors de l'ajout de nouveaux utilisateurs depuis Okta, cette erreur indique qu'un ou plusieurs utilisateurs n'ont pas pu être synchronisés avec Document360. Cela peut être causé par :
Provisionnement des utilisateurs en double
Limite d'utilisateurs atteinte en fonction de votre abonnement actuel
Autres erreurs de validation ou de traitement.
Cliquez sur Voir les détails pour voir quels utilisateurs n'ont pas réussi à synchroniser.
Utilisateur déjà disponible dans le projet
Si SCIM renvoie une erreur « utilisateur déjà disponible dans le projet », cela signifie que l'adresse e-mail est déjà enregistrée comme Utilisateur dans Document360. Si votre intention est de les convertir en lecteurs, suivez ces étapes :
Dans votre IDP, localisez le profil de l'utilisateur et allez vers l'
isTeamAccountattribut.Définissez
isTeamAccount = True, cela permet au système de reconnaître l'e-mail existant comme un Utilisateur.Sauvegardez les modifications et laissez la synchronisation se terminer. Une fois synchronisé, retournez au profil de l'utilisateur dans votre IDP.
En définissant
isTeamAccount = False, cela les convertit automatiquement en lecteur.Sauvegardez les modifications et laissez la synchronisation se terminer.
Pour vérifier, rendez-vous dans Document360 > Paramètres > Utilisateurs & permissions > Lecteurs & groupes et confirmez que l'utilisateur apparaît désormais comme Lecteur.
Que faire lorsqu'un groupe SCIM est supprimé manuellement dans Document360 ?
Si un groupe provisionné SCIM est supprimé manuellement dans Document360, la repoussée du même groupe depuis votre IdP échouera car le groupe n'existe plus du côté application.
Pour résoudre cela :
Supprimez ou déliez le groupe concerné de votre IDP.
Synchronisez à nouveau le groupe depuis l'IdP pour le recréer dans Document360.
Évitez de supprimer directement les groupes gérés par SCIM dans Document360. Gérez toujours les groupes SCIM depuis votre IdP pour éviter les problèmes de synchronisation.
Désactiver et réactiver SCIM ne restaure pas automatiquement les groupes qui étaient auparavant synchronisés. Si des groupes gérés par SCIM ont été supprimés pendant que SCIM était désactivé, vous devez repousser ces groupes depuis votre IDP.
NOTE
Si votre limite de licence utilisateur a déjà été atteinte, la resynchronisation ou la repoussée des groupes peut échouer car la liaison de groupe dépend du provisionnement réussi par l'utilisateur. Avant de resynchroniser les groupes, assurez-vous que votre limite d'utilisateurs a une capacité disponible.
FAQ
Comment le isTeamAccount Travail d'attributs dans le provisionnement SCIM ?
isTeamAccount Travail d'attributs dans le provisionnement SCIM ?L' isTeamAccount attribut détermine le rôle attribué à un utilisateur lorsqu'il est provisionné dans Document360.
Lorsqu
isTeamAccount'il est réglé sur True, l'utilisateur est provisionné en tant qu' Utilisateur.Lorsqu
isTeamAccount'il est réglé sur Faux ou Laissé non défini, l'utilisateur est provisionné en tant que lecteur.